安全相关规则

云电脑策略用于管控云电脑在体验、安全、审计、外设、协作、AI方面的规则。本文介绍与安全相关的规则。

背景信息

云电脑策略中与安全相关的规则包括:

  • 登录安全规则:登录方式管控、云电脑访问IP白名单。

  • 显示安全规则:防截屏、水印。

  • 传输安全规则:剪切板管控、Web客户端文件传输。

  • 网络安全规则:域名访问管控、安全组管控。

登录安全规则

快速入门

请查看以下引导式教学,了解无影云电脑企业版的登录方式管控策略是什么,以及如何使用。为获得最佳体验,请在新窗口中打开查看

使用场景

  • 登录方式管控规则用于限制终端用户可以使用哪种无影终端连接云电脑。

    示例场景:为了保障企业信息安全,管理员将规则设置为仅允许使用Windows客户端macOS客户端和无影自研硬件终端连接云电脑。

  • 云电脑访问IP白名单规则用于限制哪些IP地址段的无影终端可以连接云电脑。

    示例场景:为了保障企业信息安全,管理员将办公场所的无影终端IP地址网段添加至白名单,因此员工只能通过办公场所的无影终端连接云电脑,在其他场所无法连接。

配置说明

配置项

说明

登录方式管控

用于限制终端用户可以使用的无影终端类型。可选项包括:

  • Windows客户端

  • macOS客户端

  • iOS客户端

  • Android客户端

  • Web客户端

  • 无影自研硬件终端

以上选项默认全部选中,您可以根据需要取消选择部分选项。

云电脑访问IP白名单

用于指定哪些IP地址段的无影终端可以连接云电脑。

单击新增IP地址段,并在添加IP网段对话框中输入允许的源IP地址段,然后单击确定

IP地址段格式要求:CIDR格式块,例如:192.0.XX.XX/3210.0.XX.XX/8

显示安全规则

快速入门

请查看以下引导式教学,了解无影云电脑企业版的防截屏与水印策略是什么,以及如何使用。为获得最佳体验,请在新窗口中打开查看

使用场景

  • 防截屏功能用于防止因截屏或录屏而产生数据泄露。

    示例场景:某建筑设计公司为防止设计图被非法盗用,为云电脑开启了防截屏规则,因此任何人员都无法使用本地终端设备上的截图工具对云电脑画面进行截屏或录屏。

  • 水印功能用于数据防泄露场景,可以发挥事前预防和事后审计的作用。

    示例场景:某广告公司为云电脑开启了水印,员工在云电脑上对内部文件进行截图后,截图上将出现管理员指定的水印,可以有效地预防内部文件泄露。一旦发生数据泄露,水印也可以提供重要的审计线索。

适用范围

配置项

镜像最低版本

客户端及最低版本

防截屏

无要求

Windows客户端macOS客户端V5.2

盲水印强度

1.8.0

无要求

盲水印防拍照

1.8.0

任意客户端V6.7

配置说明

配置项

说明

防截屏

防截屏功能用于数据防泄露场景。开启防截屏后,终端用户无法使用本地终端设备上的截图工具对云电脑画面进行截屏或录屏。

说明
  • 仅5.2.0及以上版本的Windows客户端macOS客户端支持防截屏功能。

  • 各类无影终端支持防截屏功能的情况不同,如果开启此功能,建议您在登录方式管控规则中允许通过相应客户端连接云电脑。

水印

水印功能用于数据防泄露场景,能发挥事前预防和事后审计的作用。

明水印

明水印是肉眼可见的水印,您可以设置水印的内容和展现样式。

  • 水印内容(最多可选择以下3项)

    • 用户名:例如testuser01

    • 云电脑ID:例如ecd-66twv7ri4nmgh****

    • 云电脑IP地址:例如192.0.2.0

    • 客户端IP地址:例如192.0.2.254

    • 云电脑当前时间:例如20230101

    • 自定义文字:您输入的自定义文本,例如内部数据

      说明

      自定义内容长度为20个英文或中文字符以内。支持大小写字母、数字、汉字和部分特殊字符,其中特殊字符包括:~!@#$%^&*()-_=+|{};:',<.?。使用换行或者其他特殊字符可能会导致自定义内容不生效。

  • 展现样式

    • 字体大小:取值范围为10~20 px,默认值为12 px

    • 字体颜色:RGB色值,默认值为#FFFFFF(白色)。

    • 透明度:取值范围为10~100。0表示不透明,100表示完全透明,默认值为25

    • 倾斜度:取值范围为-30~-10,默认值为-25

    • 水印密度:行与列的取值范围均为3~10,默认值均为3

配置过程中,您可以在下方的预览区域实时查看一条明水印的展示样式。

盲水印

盲水印是肉眼不可见的水印。无影云电脑提供的默认盲水印算法可根据不同阿里云账号身份信息对水印信息进行加密,防止恶意篡改。盲水印的配置项包括:

  • 安全优先:由于盲水印功能依赖一定版本以上的客户端和镜像,建议您开启此选项。

    • 开启后,只有当终端用户使用符合版本要求的客户端连接镜像也符合要求的云电脑时才能连接成功。

    • 关闭后,当终端用户使用不符合版本要求的客户端,或者连接镜像不符合要求的云电脑时,虽然可以连接成功,但盲水印无法生效。

  • 盲水印强度:强度越高,云电脑桌面显示颗粒度越强,盲水印解析成功率越高。请您根据需求调节盲水印强度。该功能要求使用1.8.0或更高版本的镜像。

  • 水印内容(最多可选择以下2项):

    • 云电脑ID:例如ecd-66twv7ri4nmgh****

    • 云电脑IP地址:例如192.0.2.0

    • 客户端IP地址:例如192.0.2.254

    • 云电脑当前时间:例如20230101

  • 防拍照:该功能要求使用1.8.0或更高版本的镜像以及6.7.0或更高版本的无影客户端。

查询传输日志

关于如何查询文件传输的明细记录,请参见查看操作日志

传输安全规则

快速入门

请查看以下引导式教学,了解无影云电脑企业版的磁盘映射与剪贴板安全策略是什么,以及如何使用。为获得最佳体验,请在新窗口中打开查看

适用范围

  • 本地磁盘映射

    • 仅支持Windows云电脑。

    • 仅支持Windows客户端macOS客户端

    • 本地磁盘映射适用于文件类数据的访问,不适用于运行程序。即使已开启本地磁盘映射,也不能在云电脑内运行本地设备上安装的应用。如有需要,您也可以在云电脑内运行本地的免安装应用,但是此举会占用带宽并影响云电脑的使用体验,请谨慎操作。

  • 剪切板管控:

    • 对于文本和图片的传输,没有限制条件。

    • 对于文件的传输,要求使用Windows客户端(版本不低于V7.3)。

    • 精细化管控要求云电脑镜像版本不低于2.4,否则将禁止所有拷贝行为。

  • Web客户端文件传输:即使设为允许上传下载,对HDX协议的Linux云电脑也不生效。如果需要在此类云电脑中使用文件传输功能,只能使用默认的系统策略(即All enabled policy)。

配置说明

配置项

说明

本地磁盘映射

本地磁盘映射

是指将本地设备磁盘映射为云电脑磁盘,从而实现在云电脑中访问本地磁盘的数据。可选项包括:

  • 只读:表示可以从云电脑查看和复制本地磁盘数据,但不能修改。

  • 关闭:表示在云电脑内无法访问本地磁盘数据。

  • 读写:表示可以从云电脑查看、复制和修改本地磁盘数据。

剪切板管控

管控颗粒度

选择剪贴板权限设置的生效范围。可选项包括:

  • 全局管控:统一设置文本、富文本/图片、文件/文件夹的剪贴板权限。

  • 精细化管控:单独设置文本、富文本/图片、文件/文件夹的剪贴板权限。

    说明

    该选项对镜像低于2.4版本的云电脑不生效,将禁止所有拷贝行为。

文本拷贝权限

按数据类型分别设置剪贴板权限。可选项包括:

  • 允许双向拷贝:允许在云电脑和本地设备之间剪切、拷贝和粘贴数据。

  • 禁止双向拷贝:禁止在云电脑和本地设备之间剪切、拷贝和粘贴数据。

  • 仅允许本地设备拷贝到云电脑

  • 仅允许云电脑拷贝到本地设备

富文本/图片拷贝权限

文件/文件夹拷贝权限

文本拷贝上限

设置拷贝文本的上限。终端用户拷贝文本时,超出该上限的部分将被裁剪。

数据安全

Web客户端文件传输

设置云电脑和本地设备之间是否可以通过Web客户端互相传输文件。

网络安全规则

域名访问管控

域名访问管控规则用于设置允许或禁止在云电脑中访问的域名。例如,根据企业的规章制度,员工不可在工作时间内访问与工作无关的网站,因此管理员将娱乐类的网站域名添加到DNS拒绝访问规则中。

使用场景

默认情况下允许在云电脑中访问任何域名。域名访问管控用于设置允许或禁止在云电脑中访问的域名,同时支持多层级、精细化地管控域名访问权限。

示例场景:假设现有下表所示的域名,按照下表配置DNS规则即可实现精细化的权限管控。

域名

示例

访问策略

说明

二级域名

example.com

允许

云电脑访问example.com时,可以正常打开网页。

三级域名

writer.examplec.com

禁止

云电脑访问writer.example.com时,网页显示404。

developer.example.com

允许

云电脑访问developer.example.com时,可以正常打开网页。

四级域名

image.developer.example.com

禁止

云电脑访问image.developer.example.com时,网页显示404。

video.developer.example.com

允许

云电脑访问video.developer.example.comguide.developer.example.com时,可以正常打开网页。

guide.developer.example.com

允许

使用限制

  • 域名限制

    为确保终端用户能正常使用云电脑,以下预留的安全域名不受DNS规则的约束,即云电脑始终允许访问这些域名。若您将这些域名的访问策略设置为拒绝,则规则不会生效。

    • *.gws.aliyun

    • *.aliyun.com

    • *.alicdn.com

    • *.aliyunpds.com

    • *.aliyuncds.com

    • *.aliyuncs.com

  • 操作系统限制

    域名访问管控规则只对Windows操作系统的云电脑生效。

  • 规则数量限制

    最多可设置300条DNS规则。

配置说明

域名访问管控(原DNS策略)区域单击添加DNS规则,然后在添加DNS规则对话框中完成以下配置,并单击确定

配置项

说明

域名

填写需要设置DNS规则的域名。每次只能添加1个域名,支持使用 * 通配符。

描述

自定义的DNS规则描述。

访问策略

可选择允许拒绝

说明
  • 如果需要设置多条访问策略为允许的DNS规则,则必须添加一条访问策略为拒绝的DNS规则作为保底规则。

  • 有多条DNS规则时,在列表中排序越靠前的规则生效优先级越高。您可以通过移动规则顺序来调整优先级。

安全组管控

安全组是一种安全机制,用于控制云电脑的入流量和出流量,从而提高云电脑的安全性。

使用场景

一条安全组规则由规则方向、授权、优先级、协议类型、端口范围等属性确定。与云电脑建立数据通信前,系统将逐条匹配云电脑关联策略中的安全组管控规则,确认是否放行访问请求:

  • 对于授权设置为允许的规则,如果访问请求匹配规则,则放行访问请求。

  • 对于授权设置为拒绝的规则,如果访问请求匹配规则,则拦截访问请求并直接丢弃数据包。

您可以根据需要添加入方向或者出方向的安全组管控规则来进一步控制云电脑的出入流量。示例场景的安全组管控规则配置如下:

示例场景1

默认情况下,云电脑允许所有出方向的访问。您可以添加以下出方向规则,实现只允许云电脑访问特定的IP地址:

  • 规则1:拒绝所有出方向访问。示例如下:

    规则方向

    授权

    优先级

    协议类型

    端口范围

    授权对象

    出方向

    拒绝

    2

    全部

    -1/-1

    0.0.0.0/0

  • 规则2:在规则1的基础上允许访问特定IP地址,优先级必须高于规则1。示例如下:

    规则方向

    授权

    优先级

    协议类型

    端口范围

    授权对象

    出方向

    允许

    1

    选择适用的协议类型。

    设置合适的端口范围。

    允许访问的IP地址,例如:192.168.1.1/32。

示例场景2

在企业专网环境下,您可以添加允许特定IP地址访问的入方向规则,实现该IP地址能够访问云电脑。示例如下:

规则方向

授权

优先级

协议类型

端口范围

授权对象

入方向

允许

1

选择适用的协议类型。

设置合适的端口范围。

允许访问的IP地址,例如:192.168.1.1/32。

示例场景3

假设云电脑A关联了策略a,云电脑B关联了策略b。在企业专网环境下,由于云电脑默认拒绝所有入方向的访问,云电脑A和云电脑B之间无法互相访问。您可以在策略a和策略b中添加以下入方向规则,实现云电脑A和云电脑B的网络互通:

  • 在策略a中添加允许云电脑b访问的入方向规则。示例如下:

    规则方向

    授权

    优先级

    协议类型

    端口范围

    授权对象

    入方向

    允许

    1

    选择适用的协议类型。

    设置合适的端口范围。

    云电脑B的IP地址。

  • 在策略b中添加允许云电脑a访问的入方向规则。示例如下:

    规则方向

    授权

    优先级

    协议类型

    端口范围

    授权对象

    入方向

    允许

    1

    选择适用的协议类型。

    设置合适的端口范围。

    云电脑A的IP地址。

使用限制

  • 规则数量限制

    最多可设置200条安全组管控规则。

  • 入方向规则的限制

    云电脑默认允许所有出方向的访问,入方向的访问遵循以下原则:

    • 互联网环境下,云电脑不支持所有入方向的访问,即使您将安全组规则的入方向设置为允许,该安全组入方向规则仍然不生效。

    • 企业专网环境下,云电脑默认拒绝所有入方向的访问,但是您可以通过将安全组入方向规则设置为允许来放行符合要求的访问请求。

配置说明

安全组管控区域单击添加安全组规则,然后在添加安全组规则对话框中完成以下配置,并单击确定

配置项

说明

规则方向

  • 入方向:控制是否放行访问云电脑的请求。

  • 出方向:控制是否放行云电脑访问其他应用的请求。

授权

  • 允许:放行访问请求。

  • 拒绝:拦截访问请求并直接丢弃数据包,不会返回任何信息。

优先级

优先级的取值范围为1~60,数值越小、优先级越高。同类型规则之间由优先级决定最终生效的规则。

协议类型

支持TCP、UDP、ICMP(IPv4)和GRE协议。

端口范围

应用或协议开启的端口。所选的协议类型为自定义TCP或者自定义UDP时,您可以设置自定义端口。设置端口时,支持输入具体的端口(如:80)或者端口范围(如:1/80)。更多信息,请参见常用端口

授权对象

CIDR格式的IPv4地址网段。

描述

自定义的规则描述。

后续步骤

默认情况下,云电脑拒绝所有入方向的访问,允许所有出方向的访问,即默认已有一条允许所有访问的出方向规则。此时,您添加的出方向规则将与默认规则产生冲突。根据云电脑所属的办公网络情况,您可能需要调整默认规则的优先级,以便您添加的规则能够生效。

  • 如果您使用的是新版办公网络(ID格式为:地域ID+dir+10位数字),由于默认规则优先级最低,您添加的规则将直接生效,无需您做额外操作。

  • 如果您使用的是由旧版目录升级而成的办公网络(ID格式为:地域ID+dir+17位字母和数字),由于默认规则优先级最高,您需要手动调整默认规则的优先级。操作步骤如下:

    1. 找到云电脑所属的办公网络,单击其办公网络ID

    2. 办公网络详情页面,单击安全组ID。

    3. 安全组列表页面,单击安全组ID。

    4. 安全组规则页面,单击出方向页签,并修改对应规则的优先级。

      建议将优先级设置为60,这样做可以确保您以后手动添加的出方向规则均可以直接生效。

相关文档